Change management nije samo “meki” aspekt transformacije. On je, u svojoj srži, projekt upravljanja ljudskim, organizacijskim i komunikacijskim rizikom. U kontekstu kibernetičke sigurnosti, on ima pet jasno definiranih dimenzija:
Upravo sada, diljem Hrvatske, pravni zastupnici kategoriziranih tvrtki razmatraju sadržaj rješenja o kategorizaciji sukladno Zakonu o kibernetičkoj sigurnosti i pripadajućoj Uredbi. Pitanja su brojna: Koji su naši zakonski rokovi? Jesmo li kategorizirani kao ključni ili važni subjekt? Tko će izraditi dokumentaciju? Koliko će nas to koštati?
Ipak, rijetko koja organizacija si postavlja ključno pitanje: je li naša organizacija uopće spremna za promjenu ove razine? Jer Zakon o kibernetičkoj sigurnosti nije samo compliance obveza – on je sustavna transformacija. A kao kod svake transformacije – bez strateški vođenog procesa upravljanja promjenom, svi daljnji koraci postaju operativno rizični i organizacijski neodrživi.
Analogno upravljanju kapitalom, gdje se najprije provodi analiza tržišta, definira investicijska strategija i postavlja struktura upravljanja rizicima, tako i u ovom slučaju tehnička rješenja dolaze nakon strateške pripreme. Imenovanje CISO-a, implementacija SIEM sustava, izrada planova oporavka i poslovne kontinuiteta – sve su to nužni, ali sekundarni koraci. Prvi korak je stvaranje organizacijske svijesti i upravljačke volje. Drugim riječima – upravljanje promjenom kao preduvjet za provedbu Zakona.
Change management nije samo “meki” aspekt transformacije. On je, u svojoj srži, projekt upravljanja ljudskim, organizacijskim i komunikacijskim rizikom. U kontekstu kibernetičke sigurnosti, on ima pet jasno definiranih dimenzija:
Sponsorship na najvišoj razini - promjene ove razine ne uspijevaju bez jasne, glasne i vidljive podrške top menadžmenta. Uprava ne smije biti samo potpisnik akata – ona mora biti glasnogovornik promjene, ključni komunikator i pokrovitelj resursa. Bez leadershipa, compliance postaje formalnost.
Identifikacija dionika i mapa utjecaja - u svakoj organizaciji postoji složena mreža utjecaja – formalnih i neformalnih. Uspješan change management zna tko su ključni saveznici, tko su mogući otporaši i kako ih angažirati. Kibernetička sigurnost nije odgovornost samo jednog tima – ona je interdisciplinarni izazov koji traži suradnju IT-a, pravne službe, ljudskih resursa, revizije i poslovnih linija.
Strateška komunikacija s ciljem promjene ponašanja - edukacija i informiranje nisu sinonimi. Promjena se ne događa zato što je netko “upoznat”, već zato što je uključen i motiviran. Poruke o važnosti sigurnosti moraju biti jasne, prilagođene različitim ciljnim skupinama, i usmjerene prema konkretnim rizicima i koristi za svakog aktera.
Kapacitet za učenje i osnaživanje - sustavi su snažni onoliko koliko su kompetentni ljudi koji ih koriste. Upravljanje promjenom uključuje izgradnju dugoročnih kapaciteta kroz sustavnu edukaciju, razvoj internih ambasadora sigurnosti i stvaranje okruženja u kojem učenje nije jednokratna aktivnost već poslovna navika.
Mjerenje, feedback i upravljanje otporom - svaka promjena izaziva otpor – i to ne samo zbog nevoljkosti, već zbog nesigurnosti, preopterećenosti ili nejasnoća. Uspješan pristup podrazumijeva postavljanje indikatora uspjeha, sustava povratnih informacija i mehanizama za brzo prepoznavanje i rješavanje prepreka.
Upravljanje kibernetičkom sigurnošću u 2025. godini prestaje biti zadatak jedne funkcije. To postaje dio enterprise risk managementa, upravljanja reputacijom i poslovne strategije. U konačnici, pitanje za svaku Upravu glasi: Imamo li ne samo alate, nego i ljude, strukture i mindset da provedemo ovu promjenu?
Bez promjene načina razmišljanja, ponašanja i komunikacije unutar organizacije – svi planovi i tehnička rješenja ostaju ranjivi. U takvom okruženju čak i najbolji firewall ne može zaštititi organizaciju od najopasnijeg vektora: ljudskog faktora.
Pravi izazov Zakona o kibernetičkoj sigurnosti nije samo njegova implementacija, već njegova institucionalizacija – njegovo ukorjenjivanje u način kako organizacija funkcionira, komunicira i donosi odluke. A za to nije dovoljan projektni plan. Potrebno je vodstvo, posvećenost i upravljanje promjenom.
Upravo tu počinje prava sigurnost.
